Сложность восприятия документов ФСТЭК. Пути решения

Сложность восприятия документов ФСТЭК. Пути решения
ФСТЭК завершает подготовку своего методического документа по мерам защиты, который разъяснит, что подразумевалось в 17-м (21-м) приказе под тем или иным пунктом. Я уже неоднократно слышал от коллег высказывания, что и 17/21-е приказы и рождающийся документ достаточно сложно для восприятия большинством из целевой аудитории. Это так, спорить не буду. Но важна причина, по которой такая ситуация стала возможной.

За долгие годы мы привыкли к тому, что у нас есть только СТР-К и ряд РД 92-го года, которые не менялись на протяжении длительного времени. На момент своего создания они были относительно неплохи, хотя и считались калькой с первых двух американской "Радужной серии". Но время не стоит на месте и технологии развивались; в отличие от нормативных документов по ИБ. Уже и "Радужной серии" практически не стало, а РД ФСТЭК продолжали существовать (их, кстати, до сих пор не вывели из действия). Не одно поколение специалистов по ИБ выросло на этих документах. Ни о каком жизненном цикле нормативных документов никто и не думал. Это только сейчас ФСТЭК приходит к идее двухлетнего цикла обновления своей нормативной базы. Для старой такое просто невозможно себе было представить. Мы к ней привыкли! Женя Родыгин даже высказал мысль, что нынешние требования ФСТЭК к конфиденциалке жестче, чем требования к гостайне. Мотивация проста - 17-й приказ содержит мер гораздо больше, чем требования к АС 1В.

Повторюсь еще раз. Основная проблема, которую отмечают те немногочисленные эксперты, которые удосужились посмотреть последние проекты и уже принятые приказы ФСТЭК, множественность требований, которые сложно и непонятны целевой аудитории. В качестве примера "как правильно" идут ссылки на документы SANS и австралийского Министерства Обороны. Первый - это " 20 критических мер ИБ ", описывающий  20 понятных мер защиты, второй "Стратегии для отражения целенаправленных атак", описывающий 35 мер.

Оба регулярно обновляются. Оба содержат вполне конкретные меры защиты. Оба просты и помешаются на один лист формата А4. Оба позволяют "закрыть" до 80% всех возможных проблем с ИБ. Идеальные примеры того, как могут быть написаны документы такого уровня, по мнению многих экспертов. Я не буду с этим спорить - документы действительно неплохи. Только мы забываем про одну вещь. Чтобы составить такие документы, нужна статистика эффективности применения защитных мер. Ведь эти 20 или 35 мер появились не на пустом месте. Первоначальные списки содержали гораздо больше возможных защитных мер (достаточно посмотреть на NIST SP800-53, чтобы понять масштаб такого первоначального списка). Потом, путем опросов, из нескольких сотен мер были выбраны ключевые. Иными словами, и американцы и австралийцы решили применить Правило Парето , о котором я писал 6 лет назад.

Это идеальный, на мой взгляд, вариант, когда есть список из конкретных защитных мер (5, 10, 20, 35), которые реально снижают риски на 80%. Но на пустом месте он не появляется. "Писать проще", как советует  Ригель, хорошо, но мало. Это на американской или австралийской почве такой подход дает благодатные всходы. У нас, в условиях долгого применения техники и рецептов времен Перестройки, все давно заросло бурьяном. Нужны новые семена и новые подобные инструкции, как их сажать. А вот когда этот опыт даст свои первые плоды, тогда можно говорить и о составлении кратких "карт", аккумулирующих мудрость десятков многостраничных фолиантов.

Но придем мы к этому не сразу (если придем, конечно). ФСТЭКу нужно сделать еще несколько шагов в этом направлении. Помимо приглашения целевой аудитории в разработке проектов документов с требованиями по защите, необходимо опрашивать эту же аудитории о том, что получилось. Насколько хорошо написаны документы, что в них хорошо, а что плохо, что можно улучшить, а что стоит убрать. Я про это уже писал  вкратце, но вновь повторюсь. Как мне кажется (если я не выдаю желаемое за действительное), ФСТЭК сейчас к этому плавно и подходит. Он начал диалог с экспертным сообществом. Это первый шаг и он очень важный. ФСТЭК через полторы недели проводит свою конференцию "Актуальные вопросы защиты информации", на которой хочет устроить диалог с аудиторией, хочет понять ее чаяния и донести свою позицию. И это тоже важно. Через годик можно уже будет организовать сбор мнений с госорганов, муниципалов и коммерческих операторов ПДн по поводу применимости 17-го и 21-го приказов. Вот тогда жизненный цикл действительно будет полностью замкнутым и адекватным.

ЗЫ. К слову сказать, так часто приводимый NIST (я на него тоже регулярно ссылаюсь) поступает аналогично. Любой новый документ сначала разрабатывается внутри, потом к его обсуждению приглашается узкая группа экспертов, а потом уже документ выкладывается на всеобщее обсуждение и все предложения принимаются по e-mail. По e-mail принимают идеи и по совершенствованию нормативной базы.
философия ФСТЭК
Alt text
Комментарии для сайта Cackle